Forums d'entraide informatique - Les forums de PCW

Bonjour à tyous
désolé pour le retard de la réponse, je ne pouvais pas écrire plus tot.

Alors voilà ce qui se passe, j'ai cherché la fameuse clé dans le registre et l'ai effacé puis j'ai relancé un scan de panda.
Il me ressort la meme infection !

Je retourne dans le registre, je recherche la clé ; elle n'y est plus. Pourtant le scan me lindique toujours voici le rapport :


Incident Status Location

Potentially unwanted tool:application/myway Not disinfected hkey_classes_root\clsid\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}
Adware:adware/dyfuca Not disinfected Windows
Registry



Quelqu' un a une idée ?

écoute moi bien, armais11, si tu veux que je t'aide à éliminer finalement ton virus sans formater ton ordi, il faut suivre ma manipulation, car pour supprimer un virus ou un malware, il ne suffit PAS d'utiliser un anti virus, mais d'utiliser le mode sans échec et faire quelques manipulations.....

D'ABORD télécharge Hijackthis depuis ce site: http://www.merijn.org/files/hijackthis.zip, dézippe-le et après exécute le....

puis poste moi ce rapport, pour te donner la suite des instructions..... (rgarde le screenshot), OK

OK gargout, merci pour ton message voici le rapport :


Logfile of HijackThis v1.99.1
Scan saved at 21:00:07, on 12/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender

Communicator\xcommsvr.exe
C:\progra~1\softwin\bitdef~2\bdswitch.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~2\bdnagent.exe
C:\Program Files\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update

Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~2\bdmcon.exe
C:\Program Files\LeechGet 2004\LeechGet.exe
C:\PROGRA~1\IZARC\IZARC.EXE
C:\DOCUME~1\PREMIER\LOCALS~1\Temp\ztv625\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~2\bdswitch.exe"
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program

Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~2\bdnagent.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Program

Files\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program

Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet -

file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet -

file://C:\Program Files\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: Interface Chat Voila -

http://chat9.x-echo.com/version5/&#0...n.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -

http://messenger.zone.msn.com/binary/Min...7.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -

http://www.cult3d.com/download/cult.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) -

http://appdirectory.messenger.msn.com/Ap.../file

sharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

http://by112fd.bay112.hotmail.msn.com/re...d.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

http://software-dl.real.com/132c08c34888...r.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5...t/wuw

eb_site.cab?1110494475917
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/7/840/537/20051...ousec

all/xscan53.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) -

http://mmt.bouyguestelecom.fr/mmawap/jsp...r.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient

Class) -

http://messenger.zone.msn.com/binary/Mes...7.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) -

http://appdirectory.messenger.msn.com/Ap...kMSN.

cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

Class) - http://acs.pandasoftware.com/activescan/...t.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -

http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program

Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service

(file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. -

C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner -

C:\Program Files\Fichiers communs\Softwin\BitDefender Update

Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program

Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

(file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program

Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe"

/service (file missing)




J'attend la suite des instructions

Bonjour

1-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

2-après télécharge CCleaner. http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
3-Ewido
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

4-Brute Force Uninstaller (de Merijn)
url=http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

On continue...

au fait, si tu as un fichier ou une clé qui refuse d'être supprimé ou tu veux partir à la chasse des virus , il faut que tu démarre ton PC en mode sans échec, car les virus et les autres programmes qui tournent en fond de tâches ne peuvent pas sur-vivre dans ce milieu ,si tu ne sais pas faire ça, dis le moi, OK je le t'expliquerai en images, ....

j'attends ton rapport de blacklight,....

ok voila le rapport :

08/13/06 00:31:54 [Info]: BlackLight Engine 1.0.42 initialized
08/13/06 00:31:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/13/06 00:31:54 [Note]: 7019 4
08/13/06 00:31:54 [Note]: 7005 0
08/13/06 00:32:02 [Note]: 7006 0
08/13/06 00:32:02 [Note]: 7011 1964
08/13/06 00:32:03 [Note]: 7026 0
08/13/06 00:32:03 [Note]: 7026 0
08/13/06 00:33:14 [Note]: FSRAW library version 1.7.1019


Sinon pour ewido et ccleaner je les ai deja car jai suivi la procedure indiquée par Bili
Jai mis à jour ewido. Le scan est en cours.

Sinon pour la suppression en mode sans echec pas encore essayé mais je peux tenter le coup. Suffit dappuyer sur f5 au moment du demarrage puis de suivre la procedure dans regedit, c est ca ????

je continue demain suis naze (dure journée pour aramis)

Bonjour à vous

Allons gargout
Mauvaise interprétation d'Hijackthis, auquel il était inutile de se lancer là dedans tout de suite

Le "BlackLight" ne trouve rien, nullement besoin de ceci, d'où ma façon de supprimer manuellement l'infection qui reste (à moins que Panda activescan fait des siennes)

Faisons simple pour l'instant

Donc nous allons pas mélanger les pinceaux
aramis11, supprime simplement la clé dans le registre enmode sans echec

Si cela ne fonctionne pas

>> Scan antispyware en mode sans echec

>> Restauration du système désactivée

Citation :Sinon pour la suppression en mode sans echec pas encore essayé mais je peux tenter le coup. Suffit dappuyer sur f5 au moment du demarrage puis de suivre la procedure dans regedit, c est ca ????

Non, en faisant comme ça :

Démarrer
Exécuter
Taper regedit
Ok

Et la clé est indiquée au dessus

A suivre

je suis d'accord avec toi bilifly. je n'ai pas trouvé grand chose dans le rapport hijackthis

mais, il y a quelque chose que je suspecte (C:\WINDOWS\system32\nvsvcd.exe)

aramis11, je (crois crois) que ton PC est infecté par le ver Blaster, ce qui explique le redémarrage automatique de ton PC toutes les minutes...

Il faut l'éliminer et supprimer toutes ses traces s'il existe, et pour cela télécharge Fixblast (programme de désinfection) sur une machine saine à l'adresse:
http://securityresponse.symantec.com/avc...xBlast.exe

place le dans un support amovible (disquette,clé usb...), le pc infecté doit être déconnecté d'internet....
éxecute ce programme, tu dois voir un rapport de désinfection après le scan, si il y 'en a pas c'est que tu n'a pas ce ver.....

mais d'abord je te conseille de suivre la dernière manip de bilifly, OK

il se peut qu'il y a une défaillance dans ton XP???????? :!: :!: :!: :!: :|

Je l'avais vu mon cher

Mais ne pas trop se précipiter

On s'occupe des virus, et le log hjt plus tard

Citation :ce qui explique le redémarrage automatique de ton PC toutes les minutes...

Si c'est un compte à rebours

Démarrer
Exécuter
Tapez shutdown -a
Ok

Je ne pense pas à Blaster, en utilisant son Fix, tu t'avances beaucoup trop
Faire très simple, il suffit de supprimer le fichier manuellement en question -> nvsvcd.exe

Plusieurs choses a vous dire alors je reprends une par une :

"aramis11, supprime simplement la clé dans le registre enmode sans echec"

j'ai essayé Bili mais ca marche pas. En mode sans echec, j'ai la meme réponse, lorsque je lance la recherche de la clé dans le registre, j'ai juste "recherche terminée" et pas la clé concernée. Je peux faire une capture decran si necessaire...

alors j'ai lancé le scan anti spyware toujours en mode sans echec : il trouve juste qq cookies que j'ai fait supprimer.

"aramis11, je (crois crois) que ton PC est infecté par le ver Blaster, ce qui explique le redémarrage automatique de ton PC toutes les minutes... "

Possible gargout mais je précise que l'ordi ne seteint plus depuis que j'ai fait la procedure indiquée par Bili au debut du sujet. Il est stable et fonctionne apparement normalement, la seule chose c'est le scan de panda qui mindique toujours la presence dune infection. :|


"Faire très simple, il suffit de supprimer le fichier manuellement en question -> nvsvcd.exe"

En fait je trouve pas ce fichier
j'ai lancé une recherche mais introuvable ! Je suis toujours en mode sans echec. Est ce a cause de ca ??? je dois peut etre me remettre en mode normal pour quil apparaisse.??